제공 서비스
웹 보안 점검 소스코드 분석 (SAST) CRM 보안 진단 다크웹 유출 조회
요금제 스토어 블로그 파트너 마이페이지 무료 보안 점검
보안 2026.03.30 · 조회 158

도메인 사칭(타이포스쿼팅) 당하고 있는지 확인하는 법

내 브랜드 도메인을 교묘하게 변형한 타이포스쿼팅 사이트가 이미 운영 중일 수 있습니다. 고객을 속이고 자격증명을 탈취하는 피싱 공격의 실제 구조와 탐지 방법을 설명합니다.

타이포스쿼팅이란 무엇인가

타이포스쿼팅(Typosquatting)은 정상 도메인과 유사한 도메인을 등록해 사용자를 속이는 공격 기법입니다. google.comgooogle.com으로 바꾸거나, paypal.compaypa1.com으로 변형하는 식입니다. 공격자는 사용자의 오타, 부주의한 클릭, 스팸 메일 링크를 통해 피싱 사이트로 유도합니다.

문제는 이 공격이 대기업만 겨냥하지 않는다는 점입니다. 인지도가 높아지기 시작한 스타트업, SaaS 서비스, 커머스 브랜드가 오히려 더 쉬운 타깃이 됩니다. 도메인 등록 비용은 연간 1만원 수준이기 때문에 공격 비용 대비 효과가 높습니다.

타이포스쿼팅 변형 유형 5가지

1. 철자 오타 (Character Substitution)

알파벳을 비슷하게 생긴 문자로 교체합니다.

  • o0 (숫자 영)
  • l1 (숫자 일) 또는 I (대문자 아이)
  • rnm 처럼 보이는 조합
원본: myservice.com
변형: myserv1ce.com, myservlce.com

2. 추가/삭제 (Character Addition/Omission)

글자를 하나 추가하거나 빼서 비슷하게 만듭니다.

원본: example.com
변형: examplee.com, exmple.com, example-login.com

3. TLD 변경 (TLD Squatting)

최상위 도메인만 바꿉니다. .com 서비스를 .net, .co, .kr, .io로 등록하거나, ccTLD를 활용합니다.

원본: myservice.com
변형: myservice.net, myservice.co, myservice.kr

4. 하이픈 삽입/제거 (Hyphenation)

하이픈을 추가하거나 제거합니다. my-service.commyservice.com으로 등록하는 방식도 포함됩니다.

5. 호모그래프 공격 (Homograph Attack)

유니코드 문자를 활용해 시각적으로 동일하게 보이는 도메인을 만듭니다. 키릴 문자 а는 라틴 문자 a와 육안으로 구별이 불가능합니다. 브라우저 주소창에서 퓨니코드로 표시되지 않으면 탐지가 매우 어렵습니다.

MX 레코드 사칭 — 이메일 피싱의 핵심

타이포스쿼팅 도메인에 MX 레코드를 설정하면 해당 도메인으로 오는 이메일을 수신할 수 있습니다. 공격자가 [email protected] 주소로 고객에게 메일을 보내면, 육안으로는 정상 주소와 구별이 힘듭니다. 실제 피해 사례 중 상당수는 이 방식으로 인보이스 사기, 자격증명 탈취, 송금 사기로 이어집니다.

사칭 도메인에 DMARC, DKIM이 설정되어 있으면 스팸 필터도 통과할 수 있어 더욱 위험합니다.

내 도메인 타이포스쿼팅 탐지 방법

방법 1: 인증서 투명성(CT) 로그 활용

crt.sh에서 내 도메인과 유사한 패턴으로 발급된 SSL 인증서를 검색합니다. SSL 인증서 발급 기록은 CT 로그에 공개되므로, 사칭 도메인이 HTTPS를 설정했다면 여기에 흔적이 남습니다.

https://crt.sh/?q=%25myservice%25&output=json

방법 2: WHOIS 검색 자동화

예상 가능한 변형 도메인 목록을 만들고 WHOIS API로 등록 여부를 일괄 확인합니다. 파이썬 python-whois 라이브러리나 도메인 등록업체 API를 활용합니다.

방법 3: DNS 레코드 확인

의심 도메인이 실제로 A 레코드나 MX 레코드를 갖고 있는지 확인합니다. 단순 주차 도메인인지, 실제 운영 중인 피싱 사이트인지 구분할 수 있습니다.

nslookup -type=MX myservlce.com
dig MX myservlce.com

대응 방법

  • 예방적 등록: 주요 변형 도메인을 미리 선점해 등록합니다. .com, .net, .co.kr, .io 등 주요 TLD는 연간 비용이 크지 않습니다.
  • DMARC 적용: 정식 도메인에 DMARC 정책을 p=reject로 설정하면 사칭 도메인에서 발송된 이메일이 수신자 측에서 차단됩니다.
  • 브랜드 모니터링: CT 로그, WHOIS, 검색엔진을 정기적으로 모니터링합니다.
  • 법적 조치: ICANN UDRP(통일도메인분쟁해결정책) 또는 국내 KRNIC 분쟁조정 신청으로 악의적 도메인 회수가 가능합니다.

자동화된 탐지로 선제 대응하세요

타이포스쿼팅 탐지는 수동으로 하기에 한계가 있습니다. CodeScan 보안 점검은 서브도메인 열거와 함께 도메인 관련 위협을 자동으로 분석합니다. URL 하나로 내 사이트가 얼마나 노출되어 있는지 확인해보세요.

지금 무료로 도메인 보안 점검하기 →

타이포스쿼팅 피싱 도메인

내 사이트도 점검해보세요

CodeScan으로 보안 취약점을 무료로 점검할 수 있습니다.

무료 스캔 시작하기 →
🛒
추천 상품
웹서비스 런칭 전 보안 세팅
런칭 전에 반드시 해야 하는 보안 설정을 원격으로 직접 해드립니다. HTTPS, 환경변수 분리, 보안 헤더…
220,000원 150,000원

🔒 바이브코딩 보안 체크리스트 받기

바이브코딩 보안 체크리스트(PDF)를 무료로 받아보세요.

관련 글

보안

AI로 만든 1인 SaaS, 출시 전 30분 보안 자가진단 — Mithos 시대 8가지 체크리스트

2026.4.27 보안

CORS 설정 실수로 발생하는 데이터 유출, 실제 사례와 수정법

2026.4.15 보안

2026년 웹 보안 트렌드 5가지 — 개발자가 알아야 할 것

2026.4.6 보안

바이브코딩 CRM, 이것만은 점검하세요 (체크리스트 7개)

2026.4.2 보안

개인정보보호법 과태료 5,000만원, 바이브코딩 CRM 운영자 필독

2026.4.2